Формы согласий субъектов персональных данных

Практически у каждого оператора существуют процессы обработки персональных данных (ПДн), в рамках которых необходимо взять согласия субъектов на обработку их ПДн. При этом есть случаи, когда необходимо получать согласия субъектов только в письменной форме (эти случаи предусмотрены в законодательстве), а есть ситуации, когда можно получать согласия в любой форме, позволяющей подтвердить факт его получения.

Согласно ч.4 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (152-ФЗ) в случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Действующим законодательством РФ предусмотрены следующие случаи обязательного получения субъекта ПДн согласия в письменной форме:

  1. включение ПДн субъекта в общедоступные источники ПДн (в том числе справочники, адресные книги), созданные в целях информационного обеспечения (ч.1 ст.8 152-ФЗ);
  2. обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п.1 ч.2 ст.10 152-ФЗ);
  3. обработка сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта ПДн (ч.1 ст.11 152-ФЗ);
  4. осуществление трансграничной передачи ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн (п.1 ч.4 ст.12 152-ФЗ);
  5. принятие решения, порождающего юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки ПДн субъекта (ч.2 ст.16 152-ФЗ);
  6. сообщение работодателем ПДн работника третьей стороне (абз.2 ст.88 Трудового кодекса РФ).

Рассмотрим более подробно случаи, когда оператор ПДн вправе самостоятельно решать, в какой форме брать согласия у субъектов на обработку их ПДн. Согласия могут быть даны в различных формах, но с точки зрения снижения рисков оператора самой надежной формой согласия является письменная форма:

Форма согласия Вид согласия
Письменная форма Отдельный письменный документ «Согласие на обработку ПДн»
Составная часть типовой формы документов (анкеты, карточки), заявления, письма
Составная часть письменного договора/соглашения с субъектом
Составная часть публичной оферты, принимаемая субъектом в письменном виде
Полная электронная форма Электронный документ, подписанный квалифицированной электронной подписью субъекта
Простая электронная форма Активация субъектом специального флажка «чекбокса» в поле «Согласие на обработку персональных данных» на сайте в сети «Интернет» или мобильном приложении, при условии размещения в указанном поле гиперссылки на полный текст согласия
Принятие субъектом (например, путем нажатия на кнопки «Принимаю», «Согласен» и т.п.) размещенного на сайте в сети «Интернет» или мобильном приложении пользовательского соглашения или пользовательских условий/правил, находящихся в статусе публичной оферты и содержащих положения о согласии субъекта на обработку его ПДн
Направление субъекту электронных сообщений (email, SMS и т.д.) с текстом согласия
Устная форма Озвучивание субъектом своего согласия как непосредственно, так и с использованием средств голосовой связи
Конклюдентная1) форма Предоставление субъектом запрашиваемых оператором материальных носителей с ПДн
Посещение сайта в сети «Интернет» при условии отображения на нем всплывающего окна (pop-up), автоматически отображаемого для впервые посещающих сайт в сети «Интернет» посетителей и содержащего текст «Продолжая посещать данный сайт и использовать его функционал, Вы предоставляете согласие на обработку Ваших персональных данных», а также содержащего гиперссылку на полный текст согласия
Активация субъектом функции ввода сведений при заполнении соответствующей веб-форме на сайте в сети «Интернет» или мобильном приложении, при условии размещения в указанной веб-форме гиперссылки на полный текст согласия
Озвучивание типового речевого уведомления (например, «Обращаем Ваше внимание, что с целью улучшения контроля качества все звонки записываются. Соединение с оператором подтверждает Ваше согласие на обработку Компанией сообщенных Вами персональных данных для дальнейшего взаимодействия») перед началом общения с субъектом, обратившемся с использованием средств голосовой связи
Поддержание субъектом электронной переписки с Оператором, в которой говорится об обработке ПДн с описанием условий или ссылкой на условия такой обработки

Рекомендуется брать письменные согласия субъектов на обработку их ПДн во всех случаях, где существует такая возможность. Это позволит минимизировать риски, связанные с наличием законных оснований обработки ПДн субъектов и, при необходимости, с подтверждением фактов получения согласий. Необходимо заметить, что в некоторых ситуациях формы письменного согласия могут не соответствовать требованиям ч.4 ст.9 152-ФЗ, но должны соответствовать общим требованиям ч.1 ст.9 152-ФЗ, а именно: согласие на обработку ПДн должно предоставляться субъектом свободно, своей волей и в своем интересе, а также должно быть конкретным, информированным и сознательным.

В части взятия согласий у субъектов на обработку их ПДн посредством конклюдентных действий, электронных сообщений и иных форм, необходимо учитывать остаточный риск, например, в случае проверки Роскомнадзор может потребовать доказать, что такое согласие было дано именно этим субъектом. В этом случае представителям оператора придется связываться с субъектом и просить его подтвердить дачу согласия для Роскомнадзора.


1)
Действия лица, которые показывают своим поведением желание вступить в определенные правоотношения (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении.